交换机端口安全🎃总结【zǒng jié】
最常用🕝的对端【de duì duān】口安全🎃的理解【de lǐ jiě】🏘就是可【jiù shì kě】根据MAC地址来👩做对网络流量【liàng】💟的控制和管理🏍，比如【bǐ rú】🐃MAC地址与具体的🎚端口绑【duān kǒu bǎng】🤥定【dìng】，限制具体端口通过【tōng guò】的MAC地址的【dì zhǐ de】数量【liàng】💟，或者在【huò zhě zài】🦌具体的🎚端口不【duān kǒu bú】允许某【yǔn xǔ mǒu】些MAC地址的【dì zhǐ de】帧流量【liàng】💟通过【tōng guò】。稍微引🧖申下端口安全🎃，就是可【jiù shì kě】以根据802.1X来控制🐀网络的❔访问流量【liàng】💟。
 

首先谈一下➰MAC地址【dì zhǐ】🥨与端口【duān kǒu】绑💁定🍒，以及根🌸据【jù】MAC地址【dì zhǐ】🥨允许流【yǔn xǔ liú】量【liàng】🕵的【de】配置【pèi zhì】🐕。

1.MAC地址【dì zhǐ】🥨与端口【duān kǒu】绑💁定🍒，当发现【dāng fā xiàn】主机的【zhǔ jī de】🙁MAC地址【dì zhǐ】🥨与交换【yǔ jiāo huàn】机🐍上指定🍒的【de】🙁MAC地址【dì zhǐ】🥨不同时【bú tóng shí】🕠 ，交换机【jiāo huàn jī】🐍相应的【de】🎴端口【duān kǒu】将🔯down掉【diào】🏋。当给端🍺口【kǒu】👫指定🍒MAC地址【dì zhǐ】🥨时🕠，端口【duān kǒu】模🥉式【shì】必须为【wéi】🧘access或者【huò zhě】Trunk状态【zhuàng tài】。
3550-1#conf t
3550-1(config)#int f0/1
3550-1(config-if)#switchport mode access /指定🍒端口【duān kǒu】模🥉式【shì】。
3550-1(config-if)#switchport port-security mac-address 00-90-F5-10-79-C1 /配置【pèi zhì】🧒MAC地址【dì zhǐ】🥨。
3550-1(config-if)#switchport port-security maximum 1 /限制此【xiàn zhì cǐ】端口【duān kǒu】🚈允许通过【tōng guò】🌬的【de】🙁MAC地址数【dì zhǐ shù】🌍为【wéi】🧘1。
3550-1(config-if)#switchport port-security violation shutdown /当发现【dāng fā xiàn】与上述配置【pèi zhì】🧒不符时🕠，端口【duān kǒu】🚈down掉【diào】🏋。

2.通过【tōng guò】MAC地址来【dì zhǐ lái】💸限制端【xiàn zhì duān】💜口流量【kǒu liú liàng】🙍，此配置【pèi zhì】🧒允许一TRUNK口【kǒu】👫最多通过【tōng guò】100个MAC地址【dì zhǐ】🥨，超过【guò】100时🕠，但来自【dàn lái zì】新的【xīn de】🙁主机的【zhǔ jī de】数【shù】😔据【jù】帧将⛪丢失【diū shī】🧗。
3550-1#conf t
3550-1(config)#int f0/1
3550-1(config-if)#switchport trunk encapsulation dot1q
3550-1(config-if)#switchport mode trunk /配置端【pèi zhì duān】⛹口【kǒu】👫模式为【mó shì wéi】🧘TRUNK。
3550-1(config-if)#switchport port-security maximum 100 /允许此端口【duān kǒu】通🦌过的【guò de】🙁最大MAC地址数【dì zhǐ shù】🌍目为【wéi】🕒100。
3550-1(config-if)#switchport port-security violation protect /当主机MAC地址数【dì zhǐ shù】🌍目超过【guò】100时🕠，交换机【jiāo huàn jī】🐍继续工【jì xù gōng】作🌗，但来自【dàn lái zì】新的【xīn de】🙁主机的【zhǔ jī de】数【shù】😔据【jù】帧将⛪丢失【diū shī】🧗。

上面的【shàng miàn de】📛配置根【pèi zhì gēn】🍆据【jù】MAC地址来【dì zhǐ lái】💸允许流【yǔn xǔ liú】量【liàng】🕵，下面的【de】配置【pèi zhì】🐕则是【shì】根据【jù】👕MAC地址来【dì zhǐ lái】💸拒绝流【jù jué liú】🔎量【liàng】。
1.此配置【pèi zhì】🧒在【zài】📥Catalyst交换机【jiāo huàn jī】🐍中只能对单播【duì dān bō】流量【liàng】⛄进行过【jìn háng guò】滤，对于多【duì yú duō】✌播流量【bō liú liàng】⛄则无效。
3550-1#conf t
3550-1(config)#mac-address-table static 00-90-F5-10-79-C1 vlan 2 drop /在【zài】📥相应的【de】🎴Vlan丢弃【diū qì】🏼流量【liàng】。
3550-1#conf t
3550-1(config)#mac-address-table static 00-90-F5-10-79-C1 vlan 2 int f0/1 /在【zài】📥相应的【de】🎴接口【kǒu】👫丢弃【diū qì】🏼流量【liàng】。

理解端【lǐ jiě duān】🏟口【kǒu】👫安全【ān quán】🐨：
当你给【dāng nǐ gěi】一个【yī gè】端口【duān kǒu】💿配置【pèi zhì】🧒了【le】最大✋安全【ān quán】🐨mac地址数【dì zhǐ shù】🌍量【liàng】，安全【ān quán】地🗺址是以【zhǐ shì yǐ】一下方【yī xià fāng】💙式【shì】包括在【zài】📥一个地【yī gè dì】址【zhǐ】🌀表中的【de】🙁：
·你可以🦔配置【pèi zhì】🧒所有的【de】🌔mac地址【dì zhǐ】🥨使用【yòng】🍼 switchport port-security mac-address <mac地址【dì zhǐ】🥨>，这个接【zhè gè jiē】口【kǒu】👫命令。
·你也可【nǐ yě kě】以允许🚙动态配【dòng tài pèi】置🧒安全【ān quán】🐨mac地址【dì zhǐ】🥨，使用【yòng】🍼已连接的【de】⛹设备的【de】🙁mac地址【dì zhǐ】🥨。
·你可以🦔配置【pèi zhì】一😝个地址【gè dì zhǐ】🌀的【de】数【shù】目👬且允许保持动态配【dòng tài pèi】置🧒。
注意：如果这个端【zhè gè duān】口【kǒu】💿shutdown了【le】，所有的【de】🌔动态学🤗的【de】🙁mac地址【dì zhǐ】都👈会被移除。
一旦达📒到配置【dào pèi zhì】🧒的【de】🙁最大的【de】🙁mac地址的【dì zhǐ de】💔数量【shù liàng】，地址【dì zhǐ】们🕐就会被存在【zài】📥一个地【yī gè dì】址【zhǐ】🌀表中。设置最👁大mac地址数【dì zhǐ shù】🌍量【liàng】为【wéi】🖇1，并且配置【pèi zhì】🧒连接到设备🍒的【de】🙁地址【dì zhǐ】🥨确保这㊗个设备独占这【dú zhàn zhè】🍨个端口【duān kǒu】💿的【de】带宽🔼。

当以下情况发⬛生时🕠就是【shì】一个【yī gè】😫安全【ān quán】🐨违规【guī】：
·最大安【zuì dà ān】⛵全数【shù】目🐃mac地址表【dì zhǐ biǎo】🕛外的【de】🙁一个【yī gè】mac地址【dì zhǐ】🥨试图访问♌这个端【zhè gè duān】口【kǒu】💿。
·一个【yī gè】mac地址【dì zhǐ】🥨被配置【bèi pèi zhì】🧒为【wéi】🧘其他的【de】接口【kǒu】🏔的【de】🙁安全【ān quán】🐨mac地址的【dì zhǐ de】💔站点试【zhàn diǎn shì】图访问♌这个端【zhè gè duān】口【kǒu】💿。

你可以🦔配置【pèi zhì】🧒接口【kǒu】👫的【de】🙁三种违规【guī】🔡模式【mó shì】，这三种模式基【mó shì jī】于违规【guī】发生后🤴的【de】动作🛍：
·protect-当mac地址的【dì zhǐ de】💔数量达【shù liàng dá】到了这【dào le zhè】个端口【duān kǒu】💿所最大允许的【de】🙁数量【shù liàng】，带有未知的【zhī de】🙁源地址【yuán dì zhǐ】的【de】💔包就会🗄被丢弃【diū qì】🕋，直到删除了【le】足够数量【shù liàng】的【de】🙁mac地址【dì zhǐ】🥨，来降下🔧最大数【shù】值之后🥪才会不丢弃【diū qì】🏼。
·restrict-一个限【yī gè xiàn】制数【shù】据【jù】🦈和并引【hé bìng yǐn】起"安全【ān quán】🐨违规【guī】"计数器【jì shù qì】👓的【de】增加🎾的【de】端口【duān kǒu】🔐安全【ān quán】🐨违规动【wéi guī dòng】作🌗。
·shutdown-一个【yī gè】导致接口【kǒu】👫马上shutdown，并且发送🀄SNMP陷阱【xiàn jǐng】的【de】端口【duān kǒu】🔐安全【ān quán】🐨违规动【wéi guī dòng】作🌗。当一个【yī gè】安全端【ān quán duān】🌑口【kǒu】👫处在【chù zài】📥error-disable状态【zhuàng tài】，你要恢【nǐ yào huī】复正常必须得【bì xū dé】敲入全🏂局下的【de】🙁errdisable recovery cause psecure-violation 命令，或者【huò zhě】你🥓可以手【kě yǐ shǒu】动的【de】♋shut再no shut端口【duān kǒu】🚈。这个是【zhè gè shì】👘端口安【duān kǒu ān】💃全违规【guī】⏪的【de】🙁默认动作🌗。

默认的【mò rèn de】端口【duān kǒu】🔐安全【ān quán】🐨配置【pèi zhì】🧒：
以下是【shì】端口安【duān kǒu ān】💃全🔆在【zài】📥接口【kǒu】下的【de】🌱配置【pèi zhì】🧒-
特性🌵：port-sercurity 默认设【mò rèn shè】✔置🧔：关闭的【de】🙁。
特性🌵：最大安【zuì dà ān】⛵全🔆mac地址数【dì zhǐ shù】🌍目 默认设【mò rèn shè】✔置🧔：1
特性🌵：违规【guī】模式【mó shì】 默认配置【pèi zhì】🧒：shutdown，这端口【duān kǒu】🚈在【zài】📥最大安【zuì dà ān】⛵全🔆mac地址数【dì zhǐ shù】🌍量【liàng】达到的【de】🙁时🕠候会shutdown，并发snmp陷阱【xiàn jǐng】。

下面是【xià miàn shì】配置端【pèi zhì duān】⛹口【kǒu】👫安全【ān quán】🐨的【de】🙁向导-
·安全端【ān quán duān】🌑口不能【kǒu bú néng】🔌在【zài】📥动态的【de】🙁access口【kǒu】👫或者【huò zhě】trunk口【kǒu】上做🥑，换言之🔂，敲🌩port-secure之前必🌴须的【de】🙁是【shì】switch mode acc之后。
·安全端【ān quán duān】🌑口不能【kǒu bú néng】🔌是【shì】一个【yī gè】😫被保护【bèi bǎo hù】的口【de kǒu】🈲。
·安全端【ān quán duān】🌑口不能【kǒu bú néng】🔌是【shì】SPAN的【de】🙁目的【mù de】🙁地址【dì zhǐ】🥨。
·安全端【ān quán duān】🌑口不能【kǒu bú néng】🔌属于【shǔ yú】🔫GEC或【huò】FEC的【de】🙁组【zǔ】。
·安全端【ān quán duān】🌑口不能【kǒu bú néng】🔌属于【shǔ yú】🔫802.1x端口【duān kǒu】🚈。如果你【rú guǒ nǐ】⏲在【zài】安全【ān quán】🤒端口【duān kǒu】🚈试图开【shì tú kāi】启802.1x，就会有【jiù huì yǒu】🤸报错信息👫，而且802.1x也关了【le】。如果你【rú guǒ nǐ】⏲试图改【shì tú gǎi】变【biàn】开启了【le】802.1x的【de】端口【duān kǒu】🔐为【wéi】安全【ān quán】🌗端口【duān kǒu】🚈，错误信👲息👫就会出现【xiàn】，安全性【ān quán xìng】⏬设置🧔不会改变【biàn】。

最后说一下➰802.1X的【de】相关🔬概念和配置【pèi zhì】🧒。
802.1X身份验【shēn fèn yàn】🍃证【zhèng】👫协议最【xié yì zuì】初使用【yòng】🍼于无线网络，后来才在【zài】普通📨交换机【jiāo huàn jī】🐍和路由【hé lù yóu】器等网🎯络设备【luò shè bèi】😨上使用【yòng】🍝。它可基于端口【duān kǒu】🚈来对用【yòng】➖户身份【hù shēn fèn】进行认【jìn háng rèn】证【zhèng】🚰，即当用【yòng】🍼户的【hù de】🙁数据流【shù jù liú】量企图【liàng qǐ tú】通过配【tōng guò pèi】置🧒过【guò】802.1X协议的【de】🈴端口时【duān kǒu shí】♏，必须进【bì xū jìn】行身份的【de】🙁验证【zhèng】👫，合法则允许其【yǔn xǔ qí】访问网络。这样的【de】😗做的【de】好➡处就是【shì】可以对内网的【de】用户【yòng hù】🏐进行认【jìn háng rèn】证【zhèng】🚰，并且简🔋化配置【huà pèi zhì】🧒，在【zài】📥一定【yī dìng】🍒的【de】🙁程度上可以取代😔Windows 的【de】🙁AD。
配置【pèi zhì】🧒802.1X身份验【shēn fèn yàn】🍃证【zhèng】👫协议，首先得全局启✴用【yòng】🍼AAA认证【zhèng】👫，这个和在【zài】📥网络边【wǎng luò biān】界上使用【yòng】🍝AAA认证【zhèng】👫没有太多的【de】🙁区别，只不过【zhī bú guò】认证【zhèng】👫的【de】🙁协议是【xié yì shì】802.1X；其次则📮需要在【xū yào zài】📥相应的【de】🎴接口【kǒu】👫上启用【qǐ yòng】🌇802.1X身份验【shēn fèn yàn】🍃证【zhèng】👫。（建议在【jiàn yì zài】📥所有的【de】🌔端口【duān kǒu】🚈上启用【qǐ yòng】🌇802.1X身份验【shēn fèn yàn】🍃证【zhèng】👫，并且使用【yòng】🍼radius服务器来管理〰用户【yòng hù】名⛄和密码【mǎ】）
下面的【de】配置【pèi zhì】🐕AAA认证【zhèng】所🍐使用【yòng】的【de】🉑为【wéi】🧘本地的【de】用户【yòng hù】🏐名和密码【mǎ】。
3550-1#conf t
3550-1(config)#aaa new-model /启用【qǐ yòng】🧒AAA认证【zhèng】👫。
3550-1(config)#aaa authentication dot1x default local /全局启✴用【yòng】🍼802.1X协议认【xié yì rèn】证【zhèng】👫，并使用【yòng】🍼本地用户【yòng hù】名⛄与密码【yǔ mì mǎ】。
3550-1(config)#int range f0/1 -24
3550-1(config-if-range)#dot1x port-control auto /在【zài】📥所有的【de】🌔接口【kǒu】👫上启用【qǐ yòng】🌇802.1X身份验【shēn fèn yàn】🍃证【zhèng】👫。

后记
通过【tōng guò】MAC地址来【dì zhǐ lái】💸控制网🆖络的【luò de】🙁流量既【liú liàng jì】可以通过【tōng guò】上面的【shàng miàn de】📛配置【pèi zhì】🧒来实现【xiàn】👮，也可以通过访【tōng guò fǎng】问控制【wèn kòng zhì】🅿列表来【liè biǎo lái】实现【xiàn】👮，比如在【zài】📥Cata3550上可通【shàng kě tōng】过【guò】700-799号的【de】访🈳问控制【wèn kòng zhì】🅿列表可💺实现【xiàn】👮MAC地址【dì zhǐ】过【guò】🕊滤。但是【shì】利用【yòng】🍼访问控【fǎng wèn kòng】制🅿列表来【liè biǎo lái】控制流量【liàng】比较麻烦【má fán】，似乎用【yòng】🍼的【de】也比🔒较少🙅，这里就【zhè lǐ jiù】不多介绍了【shào le】。
通过【tōng guò】MAC地址【dì zhǐ】🥨绑定虽然🍑在【zài】📥一定【yī dìng】🍒程度上可保证【zhèng】📫内网安全【ān quán】🐨，但效果【dàn xiào guǒ】并不是【shì】很好🔞，建议使用【yòng】🍼802.1X身份验【shēn fèn yàn】🍃证【zhèng】👫协议。在【zài】可控😴性，可管理【kě guǎn lǐ】性上【xìng shàng】802.1X都是不【dōu shì bú】错的【de】🙁选择【xuǎn zé】🔔